Kybernetický zákon a roční zkušenosti s jeho kontrolou
Zákon o kybernetické bezpečnosti (zákon č. 181/2014 Sb.) je účinný od 1. ledna 2015. Kromě toho, že tento zákon vymezuje kompetence Národního bezpečnostního úřadu (NBÚ) zajišťované jeho Národním centrem kybernetické bezpečnosti, v oblasti kybernetické bezpečnosti, reguluje správce významných sítí, poskytovatele služeb elektronických komunikací, správce významných informačních systémů (VIS) a správce kritické informační infrastruktury (KII). Rok po jeho účinnosti, jeho gestor, NBÚ zahájil kontroly jeho dodržování u některých regulovaných subjektů – správců kritické informační infrastruktury a významných informačních systémů. Úkolem kontrol je zjistit soulad či nesoulad v plnění organizačních a technických bezpečnostních opatřeních definovaných v jednom z prováděcích právních předpisů kybernetického zákona, v tzv. standardizační vyhlášce (vyhlášce č. 316/2014 Sb.). Důvodem, proč byly kontroly dodržování zákona o kybernetické bezpečnosti zahájeny až rok po nabití jeho účinnosti je fakt, že regulované subjekty (KII a VIS) mají ze zákona nárok na roční přechodnou lhůtu, která je určena pro zavedení bezpečnostních opatření. Tato přechodná lhůta se počítá od tzv. určení systému (KII nebo VIS), zjednodušeně řečeno od doby zahájení jeho regulace. Během této roční přechodné lhůty kontrola u regulovaných subjektů neprobíhá. Protože zákonem požadovaná bezpečnostní opatření staví na základech normy ISO/IEC 27 001, tedy na systému řízení bezpečnosti informací, samotná kontrola je založená na principech auditu systému řízení bezpečnosti informací, kde kritérii auditu není norma ISO/IEC 27 001, ale kybernetický zákon a jeho standardizační vyhláška. Provádění kontroly se dále řídí zákonem o kontrole (kontrolním řádem) a správním řádem. To, že samotná kontrola dodržování kybernetického zákona je postavena na základech auditu systému řízení bezpečnosti informací, je u odborné veřejnosti a u většiny regulovaných subjektů vnímáno za pozitivní krok. Cílem příspěvku je seznámení s detaily ohledně přístupu Národního bezpečnostního úřadu ke kontrolám kybernetického zákona, podrobné seznámení s procesem kontroly a shrnutí dosavadních ročních zkušeností, získaných v rámci kontrolní činnosti v roce 2016. Klíčovou součástí příspěvku je statistika výsledků jednotlivých kontrol provedených v roce 2016 včetně upozornění na nejčastější chyby (zjištěné neshody) a představení příkladů ve formě zajímavých případových studií.
Martin Konečný
Martin Konečný je absolventem oborů Manažerská informatika a Informační management na VUT v Brně. V současné době působí u Národního bezpečnostního úřadu v Národním centru kybernetické bezpečnosti jako vedoucí Oddělení regulace, auditu a podpory. Zaměřuje se na problematiku zákona o kybernetické bezpečnosti ve vztahu k systému řízení bezpečnosti informací.